中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

一、訪問控制列表

1.分類：訪問控制列表一般分為：標準訪問控制列表、擴展訪問控制列表、命名訪問控制列表；

2.標準訪問控制列表的說明

（1）標準訪問控制列表的編號：1-99；

（2）標準訪問控制列表：只是對源地址進行判斷；一般放在離目的端較近的接口上；

例如：我從廈門坐車到福州去辦事；則源地址是【廈門】，目標地址【福州】；

例如：在福州辦完事情，搭車返回廈門；則源地址是【福州】，目標地址【廈門】；

例如：PC1所在的網(wǎng)段172.16.1.0/24要訪問DNS服務(wù)器（171.1.1.1/24）；則源地址是【172.16.1.0/24】，目標地址【171.1.1.1/24】；

例如：DNS服務(wù)器（171.1.1.1/24）將PC1詢問的URL地址轉(zhuǎn)發(fā)給PC1;則源地址是【171.1.1.1/24】，目標地址【PC1的IP地址】；

3.擴展訪問控制列表的說明

（1）擴展訪問控制列表的編號：100-199；

（2）擴展訪問控制列表是對源地址、目的地址、源端口、目的端口和協(xié)議進行判斷；一般放在離源端較近的接口；

（3）源地址和目的地址有可能是一個固定的IP地址，也有可能是一個網(wǎng)段；

（4）端口的含義

①端口是通過端口號來標記的，端口號只有整數(shù)，范圍是從0 到65535

②已知端口：0-1023有特殊作用，被預(yù)定，如FTP、HTTP、SMTP等，不能被人為的指定功能；

例如：21/tcp FTP 文件傳輸協(xié)議，21代表FTP協(xié)議的端口號；TCP說明FTP的傳輸方式是可靠傳輸；默認情況下FTP協(xié)議使用TCP端口中的 20和21這兩個端口，其中20用于傳輸數(shù)據(jù)，21用于傳輸控制。怎么不記混呢，就是0和1的區(qū)別，0是O管道負責(zé)傳輸，1是把手，負責(zé)控制；

③常見的端口有：

★22/tcp SSH 安全登錄、文件傳送(SCP)和端口重定向

★23/tcp Telnet 不安全的文本傳送

★25/tcp SMTP Simple Mail Transfer Protocol(E-mail)

★69/udp TFTP Trivial File Transfer Protocol

★79/tcp finger Finger

★80/tcp HTTP 超文本傳送協(xié)議 (WWW)

★88/tcp Kerberos Authenticating agent

★110/tcp POP3 Post Office Protocol (E-mail)

★113/tcp ident old identification serversystem

★119/tcp NNTP used for usenet newsgroups

★220/tcp IMAP3

★443/tcp HTTPS used fo securely transferringweb pages

參考地址：https://blog.csdn.net/wadfji/article/details/53509753  端口功能的詳細說明

④未知端口：1024-65535，可以被人為定義其功能的。例如8080，一般常用來作為網(wǎng)頁的端口；

注意：在已知端口的范圍內(nèi)訪問時，不需要添加端口號，若是采用未知端口，就必須使用端口號進行訪問；

（5）對于TCP/IP模型中，各層常見的協(xié)議有：

①網(wǎng)絡(luò)接口層（物理層+MAC子層）：ARP和RARP；

②網(wǎng)際層（LLC子層+網(wǎng)絡(luò)層）：IP、ICMP、IGMP;

③傳輸層：TCP（傳輸控制協(xié)議）、UDP（用戶數(shù)據(jù)報協(xié)議）

④應(yīng)用層：工作在TCP協(xié)議（HTTP、Telnet、FTP、SMTP、POP)、工作在UDP協(xié)議（DNS、BOOTP、TFTP、SNMP)

用途：流量控制、路徑選擇（策略路由）、訪問控制；比如在內(nèi)網(wǎng)中允許哪些用戶的主機可以訪問外網(wǎng)。

二、訪問控制列表實例

1.案例要求

配置OSPF動態(tài)路由協(xié)議使得網(wǎng)絡(luò)聯(lián)通，同時定義擴展ACL實現(xiàn)如下訪問控制：

（1）該網(wǎng)段只允許IP地址為172.16.1.0/28范圍的主機訪問server（192.168.1.254）的WEB服務(wù)；

（2）該網(wǎng)段只允許IP地址為172.16.1.0/28范圍的主機訪問server（192.168.1.254）的FTP服務(wù)；

（3）拒絕PC2所在網(wǎng)段訪問服務(wù)器器server的telnet服務(wù)；

（4）拒絕PC2所在網(wǎng)段pingserver（192.168.1.254）；

2.網(wǎng)絡(luò)拓撲圖

3.解析

第一個要求：該網(wǎng)段只允許IP地址為172.16.1.0/28的主機訪問server（192.168.1.254）的WEB服務(wù)；

分析：

（1）172.16.1.0/28，172.16.1.0是B類私有IP地址；

（2）172.16.1.0/28，在原有B類IP地址的情況下，進行子網(wǎng)劃分，28-24=4【說明子網(wǎng)的位數(shù)是4位】，2的4次冪=16【說明將172.16.1.0網(wǎng)段劃分成16個子網(wǎng)】；

（3）172.16.1.0/28，每個子網(wǎng)的可以地址數(shù)，32-28=4【說明每個子網(wǎng)的主機位數(shù)是4位】，2的4次冪-2=16-2=14【說明沒個子網(wǎng)最多可以容納14臺主機】；

（4）172.16.1.0/28，其子網(wǎng)的掩碼是128+64+32+16=255.255.255.240；其反向子網(wǎng)掩碼是：255-240=15，0.0.0.15【算法一】；算法2【子網(wǎng)的位數(shù)是4位，則2的4次冪=16，反向子網(wǎng)掩碼等于16-1=15；】

（5）172.16.1.0/28，地址范圍是-172.16.1.0~172.16.1.15；其中IP地址172.16.1.0代表該子網(wǎng)的網(wǎng)段；其中IP地址172.16.1.15代表該子網(wǎng)的廣播地址；可以地址范圍是【172.16.1.1~172.16.1.14】

（6）IP地址為172.16.1.0/28是源地址，代表在源地址范圍內(nèi)有14臺主機可以訪問目標地址；

（7）訪問server（192.168.1.254），代表目標主機（目標地址）是一個固定的IP地址，而不是一個網(wǎng)段；

（8）WEB服務(wù)：采用HTTP協(xié)議，其接口號【80】，采用的協(xié)議是TCP協(xié)議；

（9）數(shù)據(jù)流向：PC1經(jīng)過S1進入R2的F0/0，從R2的S0/0/0接口出來，進入R1的S0/0/0接口，從R1的F0/0接口出來，最終經(jīng)過S3到達WEB服務(wù)器。

第二個要求：該網(wǎng)段只允許IP地址為172.16.1.0/28范圍的主機訪問server（192.168.1.254）的FTP服務(wù)；

分析：

（1）與上一個的前7點都相同；

（2）FTP服務(wù)：采用FTP協(xié)議，其接口號【20-數(shù)據(jù)端口】、【21-控制端口】，采用的協(xié)議是TCP協(xié)議；

注意：在第一個要求和第二個要求中有一個共同點【只允許】，在配置訪問控制列表是采用的關(guān)鍵詞是【permit】，在ACL的列表最后面有一個隱含的【deny any any】；

第三個要求：拒絕PC2所在網(wǎng)段訪問服務(wù)器server的telnet服務(wù)；

（1）關(guān)鍵詞【拒絕】，在配置訪問控制列表是采用的關(guān)鍵詞是【deny】；

（2）PC2所在網(wǎng)段，指定的是一部分主機（一個網(wǎng)段），而不是PC2主機；

（3）服務(wù)器server，指定的是目標主機是一個擁有固定IP地址的主機；

（4）telnet服務(wù)，是遠程登錄協(xié)議，端口號是【23】，屬于TCP協(xié)議；

（5）數(shù)據(jù)流向：PC2經(jīng)過S2進入R2的F0/1，從R2的S0/0/0接口出來，進入R1的S0/0/0接口，從R1的F0/0接口出來，最終經(jīng)過S3到達WEB服務(wù)武器。

第四個要求：拒絕PC2所在網(wǎng)段ping server（192.168.1.254）；

（1）關(guān)鍵詞【拒絕】，在配置訪問控制列表是采用的關(guān)鍵詞是【deny】；

（2）PC2所在網(wǎng)段，指定的是一部分主機（一個網(wǎng)段），而不是PC2主機；

（3）服務(wù)器server，指定的是目標主機是一個擁有固定IP地址的主機；

（4）ping server（192.168.1.254），PING屬于ICMP協(xié)議簇中的一個協(xié)議，

注意：在該ACL列表中，開頭就是【拒絕】，末尾沒有看到任何的允許信息存在，且在ACL的列表最后面有一個隱含的【deny any any】；則該接口將出現(xiàn)任何信息都無法通過該接口到達目的端的現(xiàn)象。

解決辦法：在列表的最后面，加上【permit any any】；

4.IP 地址規(guī)劃

5.配置過程

（1）步驟1：配置路由器R2

R2(config)#inter fa 0/0  //進入接口

R2(config-if)#ip add 172.16.1.1 255.255.255.0 //配置IP地址和子網(wǎng)掩碼

R2(config-if)#no shut  //打開接口

R2(config)#inter fa 0/1  //進入接口

R2(config-if)#ip add 172.16.2.1 255.255.255.0 //配置IP地址和子網(wǎng)掩碼

R2(config-if)#no shut  //打開接口

R2(config-if)#exit  //退出接口工作模式

R2(config)#router ospf 1  //進入OSPF工作模式

R2(config-router)#net 192.168.2.0 0.0.0.3 area 0 //聲明直連網(wǎng)段

R2(config-router)#net 172.16.1.0 0.0.0.255 area 0 //聲明直連網(wǎng)段

R2(config-router)#net 172.16.2.0 0.0.0.255 area 0 //聲明直連網(wǎng)段

R2(config-router)#exit  //退出路由工作模式

R2(config)#access-list 101 remark This is an example forextended ACL  //為ACL101添加標注

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 80 log

//允許IP地址為172.16.1.0/28網(wǎng)段的主機訪問server（192.168.1.254）的WEB服務(wù)

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 20 log

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 21 log

//以上2條ACL拒絕IP地址為172.16.1.0/28網(wǎng)段的主機訪問server（192.168.1.254）的FTP服務(wù)

R2(config)#access-list 101 deny ip any any     

//可不添加，因為ACL末尾默認隱含“deny any any”

R2(config)#access-list 102 remark This is an example forextended ACL  //為ACL102添加標注

R2(config)#access-list 102 deny tcp 172.16.2.0 0.0.0.255  host 192.168.1.254 eq 23 log

//拒絕IP地址為172.16.1.0/24的主機訪問server（192.168.1.254）的的telnet服務(wù)

R2(config)#access-list 102 deny icmp 172.16.2.0 0.0.0.255  host 192.168.1.254 log 

//拒絕IP地址為172.16.1.0/24的主機訪問server（192.168.1.254）的的icmp服務(wù)

R2(config)#access-list 102 permit ip any any  

//將其余流量放行，否則ACL會將所有流量拒絕，因為ACL末尾隱含了“deny any any”

R2(config)#interface fa 0/0  //進入接口

R2(config-if)#ip access-group 101 in  //應(yīng)用ACL101到接口fa0/0的出方向

R2(config-if)#exit  //退出接口工作模式

R2(config)#interface fa 0/1  //進入接口

R2(config-if)#ip access-group 102 in  //應(yīng)用ACL102到接口fa0/1的出方向

R2(config-if)#exit  //退出接口工作模式

R2(config)#

（2）步驟2：配置路由器R2

R1(config)#inter s 0/0/0  //進入接口

R1(config-if)#ip add 192.168.2.2 255.255.255.252 //配置IP地址和子網(wǎng)掩碼

R1(config-if)#clock rate 64000

R1(config-if)#no shut  //打開接口

R1(config-if)#exit  //退出接口工作模式

R1(config)#inter fa 0/0  //進入接口

R1(config-if)#ip add 192.168.1.1 255.255.255.0 //配置IP地址和子網(wǎng)掩碼

R1(config-if)#no shut  //打開接口

R1(config-if)#exit  //退出接口工作模式

R1(config)#router ospf 1  //進入OSPF工作模式

R1(config-router)#net 192.168.2.0 0.0.0.3 area 0 //聲明直連網(wǎng)段

R1(config-router)# net 192.168.1.0 0.0.0.255 area 0 //聲明直連網(wǎng)段

R1(config-router)#end

【說明】

①參數(shù)”log”會生成相應(yīng)的日志信息，用來記錄經(jīng)過ACL入口的數(shù)據(jù)包的情況。

②訪問控制列表表項的檢查按自上而下的順序進行，并且從第一個表項開始，所以必須考慮在訪問控制列表中定義語句的次序；訪問控制列表最后一條是隱含的拒絕所有deny any；

③路由器不對自身產(chǎn)生的IP數(shù)據(jù)包進行過濾；

④盡量考慮將擴展的訪問控制列表放在靠近過濾源的位置上，這樣創(chuàng)建的過濾器就不會反過來影響其他接口上的數(shù)據(jù)流。

⑤對于編號擴展ACL，新添加的ACL條目只能加到最后，不能插到原來ACL條目中間，所以如果想在原來的編號擴展ACL中插入某條條目，只能刪掉原來的ACL內(nèi)容，重新編寫。

（3）步驟3：實驗調(diào)試

首先分別在PC1上訪問服務(wù)器的FTP和WWW服務(wù)，然后改變PC1的地址為172.16.1.20，在PC1上訪問服務(wù)器的FTP和WWW服務(wù)，再查看訪問控制列表：

R1#show ip access-list 

Extended IP access list 101

10  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq www (10 match(es)) 

20  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq 20

30  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq ftp (14 match(es))

40  deny ip any any (80 match(es))

Extended IP access list 102

10  deny tcp 172.16.2.0 0.0.0.255 host192.168.1.254 eq telnet

20  deny icmp 172.16.2.0 0.0.0.255 host192.168.1.254

30  permit ip any any

最后在PC2所在網(wǎng)段的主機ping 服務(wù)器，路由器R1會出現(xiàn)下面的日志信息

*Mar 25 17:35:46.383;%SEC-6-IPACCESSLOGDP;list 102denied icmp 172.16.2.10 ->192.168.1.254(0/0)，4 packet

以上輸出說明訪問控制列表101在有匹配數(shù)據(jù)包的時候，系統(tǒng)做了日志。